El caso Schrems II: Conclusiones del Abogado General

Por: Alejandro Negro y Inés Cabañas

El caso Schrems constituye uno de los asuntos más sonados de los últimos años en materia de privacidad en Europa. Hace unos días se ha añadido un nuevo capítulo con la publicación de las Conclusiones del Abogado General del caso C-311/18. La Comisión Europea, a través de su Decisión 200/520 consideró que los principios del Safe Harbour recogidos en ella garantizaban un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a entidades establecidas en Estados Unidos. Sin embargo, tras el primer proceso iniciado por Maximillian Schrems en relación con la transferencia de datos personales de Facebook Irlanda a Facebook Inc, en EEUU, el Tribunal de Justicia de la UE (TJUE) declaró la nulidad de tal decisión en su sentencia de 6 de octubre de 2015. El procedimiento ante la autoridad de control irlandesa continuó, teniendo ahora en cuenta la invalidez de la decisión sobre el Safe Harbour, ante lo que Facebook argumentó que su acuerdo de transferencia de datos personales se basa en las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, establecidas por la Comisión Europea en su Decisión 2010/87. Por su parte, Maximillian Schrems reformuló su denuncia alegando que las cláusulas contractuales tipo debían ser inválidas puesto que no permitían invocar en Estados Unidos los derechos de los interesados. Este último asunto ha sido también objeto de cuestión prejudicial ante el TJUE, y es sobre el que el Abogado General Saugmandsgaard Øe se ha pronunciado recientemente. La principal cuestión que deberá resolver el TJUE en esta segunda entrega del caso Schrems es si la Decisión 2010/87, por la que se establecen las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, es válida. Las principales conclusiones del Abogado General son las siguientes: Se aplica el derecho europeo a la transferencia de datos personales a terceros países cuando la transferencia forme parte de una actividad comercial, sin importar que las autoridades del país de destino realicen también un tratamiento de esos datos por motivos de seguridad nacional. El RGPD busca un nivel alto de protección al transferir datos a terceros países, y esto puede hacerse tanto (i) a través de una decisión de adecuación que asegure que el país al que se transfieren los datos ofrece, en su legislación nacional, garantías suficientes -como sucedía con la desaparecida Decisión 200/250-, como (ii) mediante garantías otorgadas por el exportador de datos -como se pretende con la adopción de las cláusulas contractuales tipo-, siendo ambos mecanismos igualmente válidos para asegurar el cumplimiento del RGPD. En tanto que el responsable debe suspender o prohibir la transferencia de datos personales a terceros países cuando exista un conflicto entre las cláusulas contractuales tipo y la ley nacional del país en cuestión, el Abogado General considera que la decisión 2010/87 es compatible con la Carta de Derechos Fundamentales de la UE. Existe, además, una Decisión de 2016 de la Comisión Europea estableciendo el nuevo Privacy Shield para las transferencias de datos personales a Estados Unidos, que sustituye al Safe Harbour declarado inválido en virtud de la primera sentencia del caso Schrems. Si bien el Privacy Shield se menciona en el caso, el Abogado General considera que la decisión sobre su validez no forma parte del presente caso y que el TJUE no ha de pronunciarse al respecto. Por tanto, de confirmarse las conclusiones del Abogado General, parece que las transferencias de datos personales desde la Unión Europea a Estados Unidos están legítimamente amparadas por las cláusulas contractuales tipo siempre que puedan ser aplicables íntegramente teniendo en cuenta la ley nacional en cuestión. Sin embargo, a la vista de las vueltas que está dando el asunto, no sería de extrañar un tercer caso Schrems en el futuro en el que se cuestionase el actual Privacy Shield.